Evitar redirecciones

Navega tus respuestas
0

Estoy trabajando en un sitio donde los usuarios pueden ingresar URL.

Las URL deben apuntar a sitios donde puede comprar un artículo (para cumpleaños / evento especial / ...)

También envía correos electrónicos a las direcciones de correo electrónico que proporciona el usuario.

Ahora, me gustaría evaluar cuán inseguro es esto y mitigar la inseguridad si es posible. (Es un proyecto de hobby, si es demasiado inseguro, lo abandonaré).

Estoy más preocupado por las URL.

Puedo imaginar que no es imposible encontrar un lugar en una tienda en línea donde se emite un redireccionamiento (y donde un atacante podría inyectar una URL personalizada).

¿Es seguro aceptar solo las URL (proporcionadas en mi sitio) que responden con un código http 200? (en otras palabras, ¿cada redireccionamiento que no es emitido por javascript solo es posible si el código de retorno http es diferente de 200?)

    
pregunta Bamboomy 15.02.2018 - 09:40
fuente

1 respuesta

2
  

¿todos los redireccionamientos que no son emitidos por javascript solo son posibles si el código de retorno http es diferente de 200?)

Tienes redirecciones HTTP con el código de estado 30x. Entonces tienes redirecciones basadas en script. Y luego tiene actualizaciones, que pueden estar dentro del encabezado HTTP o dentro del HTML, consulte aquí para ejemplos para ambas variantes.

Aparte de eso, solo porque un sitio devolvió el código de estado 200 una vez que no puede asumir que devolverá este código para siempre y lo agregará a la lista de URL en su sitio.

E incluso si un sitio devuelve 200, puede incrustar contenido malicioso, actualmente o quizás en el futuro o solo para visitantes específicos.

    
respondido por el Steffen Ullrich 15.02.2018 - 09:46
fuente

Lea otras preguntas en las etiquetas

1 vs 2 vías de filtro SSL + IP mutuo SSL / TLS: ¿El cliente selecciona una clave simétrica para el cifrado de datos?